Encontré un error en Safari, donde un sitio web interno que tiene NTLM Negotiate habilitado sigue recargando.
Confirmando con Wireshark, veo un bucle continuo de Safari que intenta solicitar la página y el servidor que responde con 401.
Otra instancia de la aplicación en otro dominio simplemente funciona. La diferencia en las dos respuestas de safari es que para la aplicación que funciona responde con una respuesta Kerberos AP-REQ
, pero en la aplicación no funciona, responde con NTLM Secure Service Provider
.
También probé otra aplicación, y ahí ocurre el mismo problema.
Utilizando klist -f
veo el ticket principal de Kerberos y uno específico para el dominio en el que funciona, pero no uno para los dominios para los que no funciona. Intenté recrear el ticket de kerberos, pero eso no lo resuelve.
¿Alguien sabe cómo resolver este problema y por qué el ticket no se envía a estos dominios?